De meest gestelde vraag bij elk automatiseringsproject: "Mag dit van de AVG?" Het korte antwoord: ja, mits je het goed inricht. Het langere antwoord is genuanceerder dan de meeste artikelen erover doen voorkomen, want de AVG is geen simpele checklist. Het is een raamwerk dat je dwingt om na te denken over wat je doet met andermans gegevens. Dat is geen slecht uitgangspunt.
Waar het om draait
De AVG verbiedt het gebruik van AI niet. De wet eist dat je een rechtmatige grondslag hebt voor de verwerking van persoonsgegevens, dat je transparant bent over wat je doet, en dat je de juiste beveiligingsmaatregelen neemt. Dat geldt of je nu handmatig werkt of met AI.
Het verschil met AI: de schaal is groter en de verwerking is minder zichtbaar. Een medewerker die facturen leest, onthoudt de namen niet. Een AI-model dat facturen verwerkt, stuurt die data potentieel naar een externe server. Daar zit de aandacht. Niet omdat AI inherent onveiliger is, maar omdat de data een extra tussenstap maakt die je moet beveiligen en documenteren.
De zes grondslagen en welke je gebruikt
De AVG kent zes grondslagen voor gegevensverwerking. Bij AI-automatisering gebruiken we er in de praktijk drie. Toestemming: de betrokkene heeft expliciet ingestemd, bijvoorbeeld bij een contactformulier of AI-scan. Uitvoering van een overeenkomst: de verwerking is noodzakelijk om een contract na te komen, bijvoorbeeld factuurverwerking voor een klant. Gerechtvaardigd belang: de verwerking is noodzakelijk voor een legitiem bedrijfsbelang, mits het belang van de betrokkene niet zwaarder weegt.
Die laatste, gerechtvaardigd belang, is de grondslag die het vaakst wordt gebruikt bij interne procesautomatisering. Als u uw eigen facturen automatisch laat verwerken, is dat een gerechtvaardigd bedrijfsbelang. U hoeft daar geen expliciete toestemming voor te vragen aan uw leveranciers. Maar u moet het wel documenteren in een verwerkingsregister.
Drie concrete keuzes die wij maken
Een: we verwerken data binnen de EU. Alle n8n-instanties draaien op servers in Amsterdam of Frankfurt. De keuze voor Europese hosting is niet onderhandelbaar. Het scheelt discussies met de functionaris gegevensbescherming en voorkomt juridische complexiteit rond internationale doorgifte.
Twee: we kiezen voor Azure OpenAI boven de reguliere OpenAI API. Microsoft garandeert bij Azure OpenAI dat uw data niet wordt gebruikt voor modeltraining, dat de data in de EU verwerkt wordt (regio West Europe), en dat er een verwerkersovereenkomst beschikbaar is die voldoet aan de AVG. Bij de reguliere OpenAI API ontbreken die garanties.
Drie: we minimaliseren de data die we naar het AI-model sturen. Als we alleen een factuurbedrag en leveranciersnaam nodig hebben, sturen we niet het hele document inclusief contactpersoon en telefoonnummer. Data minimalisatie is een kernprincipe van de AVG en kost in de praktijk weinig extra moeite als je het van begin af aan meeneemt in het ontwerp.
DPIA: wanneer verplicht, hoe we het aanpakken
Bij grootschalige of systematische verwerking van persoonsgegevens met AI is een Data Protection Impact Assessment (DPIA) verplicht. In de praktijk betekent dit: als u structureel klantdata door een AI-model laat verwerken, moet u documenteren wat u doet, waarom, welke risico's er zijn en welke maatregelen u neemt.
De Autoriteit Persoonsgegevens heeft een lijst gepubliceerd met verwerkingen waarvoor een DPIA verplicht is. Stelselmatige monitoring, profilering, en geautomatiseerde besluitvorming staan er allemaal op. Als uw AI-systeem besluiten neemt die betrokkenen raken (zoals een automatische credit check of een chatbot die medisch advies geeft), is een DPIA onvermijdelijk.
Wij leveren bij elk project een DPIA-template mee dat specifiek is toegesneden op de oplossing die we bouwen. Geen generiek document van 50 pagina's, maar een praktisch overzicht van 3-4 pagina's dat uw functionaris gegevensbescherming kan beoordelen. Het beschrijft welke data verwerkt wordt, via welke systemen, met welke beveiliging, en welke risico's er zijn. Concreet en specifiek.
Verwerkersovereenkomsten: de vergeten stap
Als u een AI-dienst gebruikt die data verwerkt namens uw organisatie, bent u verplicht een verwerkersovereenkomst af te sluiten. Dit geldt voor Azure OpenAI, voor uw hosting provider, voor uw e-mail dienst, en voor elke andere partij die toegang heeft tot persoonsgegevens.
In de praktijk zijn deze overeenkomsten vaak al beschikbaar als standaarddocument bij de provider. Microsoft, Google en AWS bieden ze aan als onderdeel van hun enterprise-contracten. Maar u moet ze wel actief accepteren en archiveren. Bij een audit wil de AP bewijs zien dat u verwerkersovereenkomsten heeft met alle partijen in de keten.
De valkuil: shadow AI
Het grootste AVG-risico in de meeste organisaties zit niet bij professionele AI-implementaties. Het zit bij medewerkers die zelf ChatGPT, Gemini of Claude gebruiken om klantdata te verwerken. Zonder verwerkersovereenkomst. Zonder dat het management het weet. Zonder enige controle over waar die data naartoe gaat.
Een concreet voorbeeld: een medewerker plakt een klachtenmail van een klant in ChatGPT om een antwoord te laten genereren. Die e-mail bevat naam, adres, klantnummer en details over het probleem. Die data gaat naar servers van OpenAI in de VS, kan worden gebruikt voor modeltraining, en er is geen verwerkersovereenkomst.
Een helder AI-beleid voor uw organisatie, met richtlijnen over welke tools medewerkers mogen gebruiken en welke data ze mogen invoeren, is belangrijker dan de technische AVG-compliance van een individueel automatiseringsproject. Wij helpen klanten bij het opstellen van zo'n beleid als onderdeel van elk project.
